互联网安全架构平台的设计中什么是xss脚本攻击的原理及案例,以及详细解析

最新推荐文章于 2024-11-08 11:17:16 发布
最新推荐文章于 2024-11-08 11:17:16 发布
阅读量80 收藏
点赞数
文章标签: json 前端 javascript 安全架构 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyxpython/article/details/130539256
版权
文章讲述了XSS(跨站脚本)攻击的原理,通过JavaScript代码示例展示了如何获取当前域名的cookie信息,并利用此方法进行钓鱼网站和数据泄露的潜在风险。文中提到,当用户提交包含恶意脚本的内容时,可能导致其他用户在打开页面时执行这些脚本,例如评论区的弹窗提示。此外,还提供了一个真实案例,描述了应用中因评论提交导致的不正常页面跳转问题,强调了网站安全的重要性。
摘要由CSDN通过智能技术生成

1.脚本攻击

<script></script>

通过js代码获取当前域名cookie信息

for example:

当前一个豆瓣评论下,可以回复框内回复:  不好看3333<script><alert('银河护卫队3')/script>

评论后会出现的情况,别人一打开评论,会弹出"银河护卫队3"

原因如下:

在springboot中的IndexController中调取用户name来找到用户info

因为调用username后,你存的脚本会自动执行。相当于一个模拟请求,在浏览器中执行。

危害:

钓鱼网站,数据泄露,网站安全风险

例子:

http://www.mayikt.com/getUserInfo?userName=

<script type="text/javascript">

        windows.location.href = "http://www.matikt.com

</script>

这样的话用户登录是页面就自动进行跳转到alert所替换的内容了,弹出一个消息框。

以上案例为xss脚本攻击。

原理:

在页面中提交的参数带入了一个js的脚本,转发到页面中执行。

真实案例:

app中有访问功能,比如提交一个文本内容,公司中的漏洞,比如一旦提交到后台,用户点击正常评论提交,跳转到了其他页面,不应该跳转,应该让内容直接展示。

一位在澳洲的程序猿
关注
安全架构-XSS攻击原理及防范
ctotalk
12-17 8270
安全架构系列课程 XSS攻击原理及防范 文章目录安全架构系列课程前言一、反射性XSS二、存储型XSS三、DOM XSS四、如何防御XSS攻击总结 前言 XSS 即(Cross Site Scripting)文名称为:跨站脚本攻击XSS的重点不在于跨站点,而在于脚本的执行。那么XSS原理是: 恶意攻击者在web页面会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面script代码会执行,因此会达到恶意攻击用户的目的。那么XSS攻击最主要有如下分类:反射型、存储型、及
XSS攻击原理及危害,说的太详细了!(值得收藏)
周沐子
04-08 3885
防范存储型和反射型 XSS 是后端的责任DOM 型 XSS 攻击不发生在后端,是前端的责任。不同的上下文,调用不同的转义规则如 HTML 属性、HTML 文字内容、HTML 注释、跳转链接、内联 JavaScript 字符串、内联 CSS 样式表等,所需要的转义规则不一致。业务 需要选取合适的转义库,并针对不同的上下文调用不同的转义规则。
XSS跨站脚本-案例详解
我乐了的博客
01-30 1272
在这些常见的Web 漏洞XSS(Cross-site Script,跨站脚本)漏洞无疑是最多见的。根据 HackerOne 漏洞奖励平台发布的,XSS 漏洞类型占所有报告漏洞的 23%,排名第一。图 1:HackerOne 平台上报告的漏洞类型占比。
互联网安全架构平台设计
a2621488456的博客
08-09 599
常见的Web安全漏洞 (1). XSS 攻击 什么是XSS攻击手段 XSS攻击使用Javascript脚本注入进行攻击 例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。 <script>alert('sss')</script> < < &ltscript> &g...
「第三章」跨站脚本攻击(XSS)
hacckjacking
01-22 1673
批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书批注 * CSDN * GitHub * Google * 维基百科 * YouTube * MDN Web Docs 由于编写过程无法记录所有的URL 所以如需原文,请自行查询 {……} 重点内容 *……* 表示先前提到的内容,不赘述 「第二篇」客户端脚本安全 0.6本书结构 就当前比较流行的客户端脚本攻击进行了深入阐述,当网站的安全做到一..
Raspberry Pi入门:持久型XSS攻击与大型网站架构深度解析
这本书由李智慧著,详细讲述了大型互联网架构设计的核心原理,包括技术选型、架构设计、性能优化、Web安全、系统发布和运维监控等方面。它不仅适用于网站工程师和架构师,也是产品经理、项目经理、测试运维人员以及...
科普文:软件架构设计之【网络安全:跨站点脚本xss攻击方式和防御方法】
为无为,事无事,味无味。
08-16 744
反射型XSS攻击是一种最常见的XSS攻击类型。攻击者向Web应用程序发送包含恶意脚本代码的链接或者表单,当用户点击这些链接或者提交表单时,恶意代码就会在用户的浏览器上执行。由于这种攻击方式需要欺骗用户主动点击链接或提交表单,因此其成功率较低。这个URL包含一个名为“query”的参数,参数值是一个包含恶意JavaScript代码的HTML标签。当用户点击或者访问这个URL时,浏览器会执行这段JavaScript代码,弹出一个警告框,提示用户被攻击了。
大型网站技术架构:核心原理案例分析
本文将主要探讨CSRF(跨站请求伪造)攻击以及在大型网站技术架构的防御策略,同时结合《大型网站技术架构:核心原理案例分析》一书的内容,深入解析如何在实际场景应对这种安全威胁。 CSRF攻击是一种网络...
互联网安全架构平台设计之预防XSS攻击
李永志的博客
01-20 4172
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序,是最常见的安全漏洞。 一、什么是XSS攻击XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不
ASP基于BS架构个人网站毕业设计(源代码+论文).zip
07-05
5. **安全与优化**:学习如何防止SQL注入、XSS攻击,以及优化ASP代码提高网站性能。 6. **论文撰写**:阐述设计目标、系统架构、实现方法、功能模块、测试结果及改进措施,展示项目的研究价值和实践意义。 通过...
"百度高级安全工程师分享XSS解决方案ppt
而CSP是一种新的安全策略,通过限制网页可执行的脚本和资源,进一步减少XSS攻击的风险。 除了介绍解决方案的具体措施,d4rkwind还分享了一些实践经验和注意事项。他提到,XSS攻击的防御不能仅依靠单一措施,而应...
30-手动准备地图包
最新发布
搬砖人的自我修养
11-08 340
Carla教程
dom4j实现xml转map,xml转json字符串
u014644574的博客
11-06 217
dom4j实现xml转map,再使用 fastjson 将map转为json字符串。map转为json字符串方法很多,这里使用fastjson。xml转换为json后效果。
Go的JSON转化
weixin_44719499的博客
11-06 444
在Go语言,处理JSONJavaScript Object Notation)数据非常常见,特别是在与Web服务交互时。Go提供了内置的包来支持JSON的序列化(将Go对象转换为JSON格式)和反序列化(将JSON格式的数据解析为Go对象)。
Fastjson反序列化漏洞利用教程
weixin_38055730的博客
11-05 817
Fastjson反序列化漏洞是一种高危安全漏洞,攻击者通过构造恶意的JSON字符串可以执行任意命令。此漏洞影响广泛,需要引起高度重视。通过本文的学习和实践,读者可以掌握Fastjson反序列化漏洞的基本原理、复现方法和利用技巧。
禁止uni小程序ios端上下拉伸(橡皮筋效果)
chaosama的博客
11-07 281
需要到pages.json文件把这行加上就可以了。可以看到这里是被拉伸的。
【Python】Bottle:轻量Web框架
2303_80346267的博客
11-06 1032
你也可以创建自己的插件。一个插件通常是一个可以安装的类,并且可以通过方法进行注册。# 安装插件在这个例子,我们创建了一个名为MyPlugin的插件,它会在响应添加一个自定义的 HTTP 头。
常见用于从 HTTP 请求提取数据的注解
ll2695015910的博客
11-05 740
RequestParam:用于从查询参数或表单数据提取数据。@PathVariable:用于从 URL 路径提取数据。@RequestBody:用于从请求体提取数据(如 JSON 或 XML 格式)。@RequestHeader:用于从请求头提取数据。@CookieValue:用于从请求的 Cookie 提取数据。@ModelAttribute:用于将多个请求参数绑定到一个 Java 对象。
【GeoJSON在线编辑平台】(1)创建地图+要素绘制+折点编辑+拖拽移动
ReBeX
11-04 518
简单实现一下地图加载、要素绘制、折点编辑和拖拽移动。打算统一都写到一个类里面。为了快速实现,直接去参考了官方案例
Pythonjson.load方法和json.loads方法
11-05 116
在Pythonjson.load()和json.loads()是两个用于处理JSON数据的方法,它们的主要区别在于输入数据的类型和返回值的类型。功能:json.load()方法用于从已打开的文件对象读取JSON数据,并将其转换为Python对象(如字典或列表)。在这个例子json.load()方法从名为data.json的文件读取JSON数据,并将其转换为Python对象。json.load()用于从文件读取JSON数据,而json.loads()用于从字符串解析JSON数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值